W jaki sposób atakujący uzyskują dostęp do strony opartej na WordPress

Nieuprawniony dostęp do Twojej strony WordPress

Po raz kolejny można zapoznać się z interesującym wpisem na blogu Marka Maundera. Tym razem pochylono się nad problemem dotyczącym tego w jaki sposób atakujący próbują uzyskać dostęp do strony użytkowników WordPress’a. Wpis Marka przedstawia także sposoby działań prewencyjnych, które mogą w znaczący sposób poprawić bezpieczeństwo strony www. Pytanie jakie postawił Zespół Wordfence przed ankietowanymi brzmiało: „Jeśli wiesz w jaki sposób została naruszona Twoja strona, opisz proszę jak atakujący uzyskał do niej dostęp”. Respondenci mieli możliwość swobodnej wypowiedzi opisowej, w związku z czym zdecydowano się na ręczne kategoryzowane udzielonych odpowiedzi. Jeśli respondent wyraził wątpliwości co do sposobu ataku w swojej odpowiedzi, wówczas sklasyfikowano odpowiedź jako niepewną. W badaniu wzięło udział ponad 1000 właścicieli witryn opartych na WordPress.

 

Większość właścicieli witryn nie wie…

Spośród 1.032 badanych respondentów, którzy odpowiedzieli na postawione pytanie, 61,5 % nie wie, w jaki sposób atakujący naruszył ich stronę internetową. Nie jest to dużym zaskoczeniem biorąc pod uwagę, iż większość respondentów samodzielnie usuwała skutki ataku, co było dla nich czynnością kłopotliwą. Badacze z Wordfence zwracają uwagę, że niemożliwe jest, aby mieć całkowitą pewność, że zaatakowana witryna została oczyszczona w całości lub że luka umożliwiająca atak już nie istnieje, skoro respondent nie wiedział w jaki sposób strona www została naruszona za pierwszym razem.
Biorąc pod uwagę udzielone przez respondentów odpowiedzi, Wordfence skoncentrowało się przede wszystkim na dwóch największych zagrożeniach. Zabezpieczenie się przed lukami bezpieczeństwa dotyczącymi wtyczek oraz atakami typu brute force, co stanowi rozwiązanie ponad 70 % problemów dotyczących bezpieczeństwa WordPress. Oznacza to, że właśnie te sposoby ataku są dominujące i stanowią ponad 70% wszystkich typów ataku na witrynę WP.

Wtyczki są największym zagrożeniem

Bez wątpienia wtyczki (plugins) odgrywają dużą rolę w tworzeniu stron WordPress i są obecnie bardzo popularne, dając twórcy witryny szereg funkcjonalności. W chwili pisania niniejszego artykułu istnieje 43.719 wtyczek dostępnych do pobrania na oficjalnej stronie WordPress. Jest to niesamowicie duży wybór. Naturalnie trzeba być ostrożnym w korzystaniu z nich, ponieważ luki bezpieczeństwa wynikające z instalowanych wtyczek, reprezentują 55,9 % znanych punktów „nieautoryzowanego” wejścia na stronę, które zgłaszają respondenci.

Zespół badaczy publikuje kilka porad dotyczących uniknięcia luk bezpieczeństwa związanych z wtyczkami.

Aktualizacja wtyczek

Renomowani twórcy wtyczek, kiedy odkryją luki w swoim oprogramowaniu, usuwają je bardzo szybko. Utrzymując bieżące aktualizacje wtyczek właściciel witryny ma pewność, że może skorzystać z poprawek, zanim napastnik podejmie próbę ich wykorzystania. Zaleca się, aby sprawdzać dostępność aktualizacji co najmniej raz w tygodniu. Ponadto zaleca się, aby zwrócić uwagę na ostrzeżenia generowane przez skanery strony takie jak Wordfence.

Nie należy używać wtyczek nierozwijanych przez ich autorów

Właściciel witryny polega na autorze wtyczki, wówczas ma pewność, że kod wtyczki jest wolny od luk bezpieczeństwa i jest aktualny. Jeśli aktualizacje dla wtyczki nie są dostarczane, istnieje wysokie prawdopodobieństwo, że występują luki bezpieczeństwa, które nie zostały stwierdzone. Zaleca się zatem unikanie wtyczek, które nie były aktualizowane przez ostatnie 6 miesięcy. Dla wtyczek już zainstalowanych zaleca się przeprowadzenie kontroli przynajmniej raz na kwartał, aby upewnić się, że żadna z wtyczek nie została porzucona przez jej autora.

Pobieraj wtyczki tylko ze sprawdzonych witryn o odpowiedniej reputacji

Jeśli właściciel strony ma zamiar pobrać wtyczki z innego źródła niż oficjalne repozytorium WordPress, należy upewnić się, że witryna jest sprawdzona i godna zaufania. Jednym z najprostszych sposobów na złamanie zabezpieczeń strony internetowej, stosowanych przez atakujących, jest skłonienie użytkownika do załadowania złośliwego oprogramowania. Intruz będzie to chciał zrobić poprzez stworzenie strony internetowej, która wygląda na bezpieczną i skłoni użytkownika do pobrania zainfekowanego oprogramowania lub tzw. pustej wtyczki.

Ataki typu brute force są nadal dużym problemem

Atak typu brute force jest atakiem polegającym na zgadywaniu hasła do witryny. Atakujący musi w pierwszej kolejności zidentyfikować poprawną nazwę użytkownika na stronie internetowej, a następnie odgadnąć hasło dla tego użytkownika. Pomimo dostępności metod i technologii, które są w 100% skuteczne, tego typu ataki wciąż stanowią ogromny problem. Wyrazili to respondenci w badaniu wskazując, że ataki brute force stanowią 16,1% znanych punktów wejścia na strony.

Opublikowano kilka porad dotyczących uniknięcia ataków brute force.

Logowanie z wykorzystaniem telefonu komórkowego

Metoda zwana również dwustopniowym uwierzytelnianiem. Takie podejście do kwestii bezpieczeństwa wymaga od użytkownika nie tylko posiadania własnego hasła ale również posiadania telefonu komórkowego. Technologia ta w 100 % skutecznie zapobiega atakom brute force.

Nie używaj oczywistych nazw użytkowników

Najbardziej oczywiste nazwy użytkowników, których należy unikać to admin i Administrator. Stanowią one najczęstsze nazwy użytkowników wykorzystywanych w atakach brute force. Należy również unikać używania nazwy domeny, nazwy firmy i nazwisk osób, którzy piszą na blogu lub nazw wymienionych w innym miejscu na swojej stronie.

Używaj bezpiecznego logowania

Na czym to polega:

• Egzekwowanie silnych haseł
• Blokowanie użytkowników po określonej liczbie nieudanych prób logowania
• Blokowanie użytkowników po określonej liczbie prób wprowadzenia hasła
• Blokowanie nieprawidłowych nazw użytkowników
• Zapobieganie ujawnianiu przez WordPress prawidłowych nazw użytkowników w błędach logowania
• Zapobieganie ujawnieniu nazwy użytkownika poprzez audyt autorów wpisów na blogu
• Natychmiastowe blokowanie adresów IP, które próbują zalogować się jako zdefiniowana lista nazw użytkowników

Kluczem do sukcesu jest dbanie o aktualizację wszystkiego co związane jest ze stroną www. Prowadzący ankietę stwierdzają, że nie ma żadnych poważnych znanych luk w jądrze obecnej wersji WordPress’a. Istnieje jednak duża liczba znanych luk w ​​starszych wersjach WordPress. A zatem aktualizowanie jądra WordPress’a jest niezwykle ważne. Należy również podkreślić, że zespół tworzący WordPress’a szybko reaguje, gdy problem zostanie zgłoszony. Dla dobra społeczności WordPress każdy użytkownik powinien zgłaszać problemy związane z bezpieczeństwem. Wielu z respondentów wskazało, że ich konto hostingowe zostało w pewien sposób naruszone. Należy upewnić się, że stosowana jest polityka silnego hasła dla konta administracyjnego strony www oraz na dowolnym innym serwerze lub hostingu powiązanym z kontem witryny. Należy także upewnić się, że zostały usunięte wszystkie inne aplikacje na serwerze, które nie są absolutnie konieczne. Jeśli nie, trzeba będzie je utrzymywać w odpowiednim stanie, zapewniając aktualizację i bezpieczeństwo. Każda aplikacja stanowi inny punkt końcowy, który może zostać zaatakowany. Wniosek: im mniej trzeba chronić, tym niższe ryzyko przeprowadzenia ataku.
Zabezpiecz swoją stację roboczą, instalując aktualizacje systemu operacyjnego i aplikacji. Uruchamianie starej, podatnej na ataki wersji przeglądarki internetowej lub starej wersji Flash, tudzież Adobe Reader może sprawić, że stacja robocza, czyli Twój komputer, będzie podatna na ataki typu phishing. Gdy stacja robocza jest zagrożona, atakujący może w łatwy sposób zainstalować keyloggera do przechwytywania nazw użytkowników i haseł z klawiatury. Wówczas atakujący będzie miał dostęp do znacznie większych zasobów niż Twoja strona WordPress.
Należy bezpiecznie przechowywać hasła do witryny i innych zasobów. Nie wolno przechowywać je w postaci zwykłego tekstu w trybie dokumentów online, które mogą być zagrożone. Można używać do bezpiecznego przechowywania haseł aplikacji podobnych do 1Password, które stanowią zaszyfrowany „skarbiec” do przechowywania haseł.
Wreszcie, należy usunąć ze swojej witryny stare, niepotrzebne dane, nieużywane pliki kopii zapasowej, pliki dziennika aplikacji oraz wszystkie inne zbędne dane i elementy. Ewentualne stare dane są dla atakującego kolejnym możliwym punktem wejścia na stronę, a zatem jeśli możesz je usunąć – możesz zmniejszyć ryzyko.

Jak widać bezpieczeństwo WordPress jest walką na wielu frontach. Jak wskazują badania, niewielkie nawet inwestycje w bezpieczeństwo we wskazanych wyżej obszarach będą się opłacać i dadzą profity. A zatem bądźmy uważni i bezpieczni!